Gelsevirine

Gelsevirinie est livré aux machines compromises par un chargeur intermédiaire nommé Gelsemicine. Gelsevirinie est le module malveillant de dernière étape déployé dans les attaques du groupe Gelsemium APT (Advanced Persistent Threat). Le chargeur existe en deux versions différentes et celle qui est exécutée dépend du fait que l'utilisateur infecté dispose ou non de privilèges administratifs. Si la victime a les privilèges requis, Gelsevirine sera déposé sous C:\Windows\System32\spool\prtprocs\x64\winprint.dll, sinon il sera livré sous forme de DLL nommée chrome_elf.dll dans le CommonAppData/Google/Chrome/ Application/Bibliothèque/emplacement.

Une fois déployé sur le système ciblé, Gelsevirine initie une configuration complexe pour atteindre et maintenir la communication avec son serveur Command-and-Control. Premièrement, il s'appuie sur une DLL intégrée pour jouer le rôle de l'homme du milieu. De plus, une configuration distincte est chargée de gérer les différents types de protocoles tels que tcp, udp, http et https.

Les chercheurs d'Infosec ont pu détecter plusieurs plug-ins récupérés et lancés par Gelsevirine, chacun portant une fonctionnalité différente. Le plug-in FxCoder est un outil de compression-décompression qui facilite la communication C&C. Ensuite, il y a le plug-in Utility capable de manipuler le système de fichiers sur le périphérique compromis. Le dernier des plug-ins observés est Inter - un outil qui permet l'injection de DLL dans des processus choisis.